安全体检产品优势说明，主要包含全面的互联网IP风险识别、易用的体检报告、便捷的使用体验等内容。 全面的互联网IP风险识别 兼容CVE、CNVD、CNNVD漏洞库，支持高危端口开放检测及弱口令检测，全面发现互联网暴露情况，识别安全风险。 易用的体检报告 自动生成PDF体检报告，包含总体安全状态、漏洞情况、端口开放情况，弱口令等内容，全面易读。 便捷的使用体验 多体检引擎支持，一键快速开始体检任务，减少排队等待时间，体检完毕自动发送体检报告，方便快捷。

动态指令互动 面临挑战：高峰时段，玩家账号登录、道具交易、指令互动、语音聊天等动态交互指令卡顿，游戏体验差，用户流失。 方案优势：天翼云全站加速通过智能调度，实时探测优质路径，确保游戏动态指令及互动消息的传输时延最小。 游戏出海 面临挑战：随着游戏行业出海势头强劲，跨境玩家同服对战延时，用户体验差，跨国网络的速度和稳定性成为首要难题。 方案优势：天翼云全站加速为游戏出海、跨境玩家提供海外加速服务，海外节点本地覆盖，方便游戏玩家就近接入，提升全球访问的性能和稳定性。 源站高可用性 面临挑战：游戏推广期间，源站流量暴增，源站带宽扩容效率低，负载过大，需要保障游戏网站的持续高可用性。 方案优势：天翼云全站加速提供源站监控、多源负载均衡、节点热备，实时弹性扩容等策略，可有效缓解源站压力，保障业务连续性和高可用性。 方案价值 极致用户体验 纯自研流量调度、动态选路等关键技术，全平台实时网络监测，智能选择优质访问链路，保障玩家获得全球优质的访问体验。 数据安全传输 支持全链路HTTPS安全传输，HTTPS双向认证，防劫持防篡改，保护数据安全。 高可用保障 分布式三网节点弹性扩容、丰富负载均衡策略、源站监控，助力构建高可用的游戏网络架构。 优质资源及链路 国内拥有1800+个节点覆盖，覆盖多运营商、主要省份和城市无盲点。海外覆盖遍布亚洲、美洲、欧洲、非洲等主要国家和城市。便于玩家就近接入。 精细化属地支持 31省本地化的销售网络体系，724小时技术支持，VIP客户一对一专属项目经理。

在采集日志时，日志服务会将采集时间、日志类型、主机IP等信息以KeyValue对的形式添加到日志中，这些字段是云日志服务的内置字段。 说明 使用API写入日志数据或添加ICAgent配置时，请不要将字段名称设置为内置保留字段，否则可能会造成字段名称重复、查询不精确等问题。 用户自定义日志字段名称中不能使用双下划线，否则无法配置索引。 日志示例 如下是一条CCE日志，content字段值是日志原文，其他字段是常见的一些内置保留字段。 { "hostName":"epstestxx518", "hostIP":"192.168.0.31", "clusterId":"c7f3f4a5xxxx11eda4ec0255ac100b07", "pathFile":"stdout.log", "content":"levelerror ts20230419T09:21:21.333895559Z", "podIp":"10.0.0.145", "containerName":"configreloader", "clusterName":"epstest", "nameSpace":"monitoring", "hostIPv6":"", "collectTime":"1681896081334", "appName":"alertmanageralertmanager", "hostId":"318c02fexxxx4c91b5bb6923513b6c34", "lineNum":"1681896081333991900", "podName":"alertmanageralertmanager54d7xxxxwnfsh", "time":"1681896081334", "serviceID":"cf5b453xxxad61d4c483b50da3fad5ad", "category":"LTS" } 内置保留字段说明 表 1 内置保留字段说明 内置保留字段 数据格式 索引与统计设置 说明 collectTime 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为collectTime创建字段索引，索引数据类型为long类型。查询时输入collectTime : xxx。 采集时间，指日志被采集器ICAgent采集时的时间。示例中的"collectTime":"1681896081334"，转换成标准时间是20230419 17:21:21 time 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为time创建字段索引，索引数据类型为long类型。该字段不支持查询。 日志时间，指的是日志在控制台页面展示的日志时间。例如示例中的"time":"1681896081334"，转换成标准时间是20230419 17:21:21日志时间默认使用采集时间，也支持自定义日志时间。 lineNum 整型 索引设置：开启索引后，日志服务默认为lineNum创建字段索引，索引数据类型为long类型。 行号（偏移量），用来排序日志。非高精度日志会根据collectTime生成，默认是collectTime 1000000 + 1，高精度日志就是用户上报的纳秒值。例如示例中的"lineNum":"1681896081333991900"。 category 字符串 索引设置：开启索引后，日志服务默认为category创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入category: xxx。 日志类型，表示该日志的来源。例如ICAgent采集的日志该字段为LTS，某云服务例如DCS上报的日志该字段为DCS。 clusterName 字符串 索引设置：开启索引后，日志服务默认为clusterName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入clusterName: xxx。 集群名称，k8s场景下集群名称。例如示例中的"clusterName":"epstest"。 clusterId 字符串 索引设置：开启索引后，日志服务默认为clusterId创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入clusterId: xxx。 集群ID，k8s场景下集群ID。例如示例中的"clusterId":"c7f3f4a5xxxx11eda4ec0255ac100b07"。 nameSpace 字符串 索引设置：开启索引后，日志服务默认为nameSpace创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入nameSpace: xxx。 命名空间，k8s场景下命名空间。例如示例中的"nameSpace":"monitoring"。 appName 字符串 索引设置：开启索引后，日志服务默认为appName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入appName: xxx。 组件名称，k8s场景下工作负载的名称。例如示例中的"appName":"alertmanageralertmanager"。 serviceID 字符串 索引设置：开启索引后，日志服务默认为serviceID创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入serviceID: xxx。 工作负载ID，k8s场景下工作负载ID。例如示例中的"serviceID":"cf5b453xxxad61d4c483b50da3fad5ad"。 podName 字符串 索引设置：开启索引后，日志服务默认为podName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入podName: xxx。 POD名称，k8s场景下POD名称。例如示例中的"podName":"alertmanageralertmanager0"。 podIp 字符串 索引设置：开启索引后，日志服务默认为podIp创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入podIp: xxx。 pod的ip，k8s场景下pod的IP地址。例如示例中的"podIp":"10.0.0.145"。 containerName 字符串 索引设置：开启索引后，日志服务默认为containerName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入containerName: xxx。 容器名称，k8s场景下容器名称。例如示例中的"containerName":"configreloader"。 hostName 字符串 索引设置：开启索引后，日志服务默认为hostName创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入hostName: xxx。 主机名称，ICAgent所在主机的名称。例如示例中的"hostName":"epstestxx518"。 hostId 字符串 索引设置：开启索引后，日志服务默认为hostId创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入hostId: xxx。 主机ID，ICAgent所在主机的id，该id由ICAgent生成。例如示例中的"hostId":"318c02fexxxx4c91b5bb6923513b6c34"。 hostIP 字符串 索引设置：开启索引后，日志服务默认为hostIP创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入hostIP: xxx。 主机IP，日志采集器所在主机的ip（适用于ipv4场景）例如示例中的"hostIP":"192.168.0.31"。 hostIPv6 字符串 索引设置：开启索引后，日志服务默认为hostIPv6创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入hostIPv6: xxx。 主机IP，日志采集器所在主机的ip（适用于ipv6场景）例如示例中的"hostIPv6":""。 pathFile 字符串 索引设置：开启索引后，日志服务默认为pathFile创建字段索引，索引数据类型为string类型，分词字符为空。查询时输入pathFile: xxx。 文件路径，采集的日志文件的路径。例如示例中的"pathFile":"stdout.log"。 content 字符串 索引设置：开启全文索引后，会使用全文索引定义的分词符对content字段的value进行分词；不支持将content字段配置到字段索引中。 日志原文例如示例中的"content":"levelerror ts20230419T09:21:21.333895559Z" logContent 字符串 不支持将logContent字段配置到字段索引中。 不涉及。 logContentSize 整型 不支持将logContentSize字段配置到字段索引中。 不涉及。 logIndexSize 整型 不支持将logIndexSize字段配置到字段索引中。 不涉及。 groupName 字符串 不支持将groupName字段配置到字段索引中。 不涉及。 logStream 字符串 不支持将logStream字段配置到字段索引中。 不涉及。 receivetime 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为receivetime创建字段索引，索引数据类型为long类型。 上报日志的服务端时间，相当于LTS采集端接收到日志的时间。 clienttime 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为clienttime创建字段索引，索引数据类型为long类型。 端侧日志的客户端上报时间。 contentparsefail 字符串 索引设置：开启索引后，日志服务默认为contentparsefail创建字段索引，索引数据类型为string类型，分词字符为默认分词符。查询时输入contentparsefail: xxx。 上报日志解析失败的日志内容。 savetime 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为savetime创建字段索引，索引数据类型为long类型。 日志流引擎的时间字段，根据此时间拉取对应时间段内的日志数据。 time 整型，Unix时间戳（毫秒） 索引设置：开启索引后，日志服务默认为time创建字段索引，索引数据类型为date类型。 采集时间，用于兼容可视化查询。

介绍APM监控详情里Web容器监控中的Tomcat相关指标的名称、含义等信息。 Tomcat指标说明表 指标类别 指标 指标说明 数据类型 Tomcat信息 httpservertomcatthreads 当前线程数 Int Tomcat信息 httpservertomcaterrorCount 错误数 Int Tomcat信息 httpservertomcatrequestCount 请求数 Int Tomcat信息 httpservertomcatmaxTime 请求处理最大时间(ms) Int Tomcat信息 httpservertomcatprocessingTime 请求处理时间(ms) Int Tomcat信息 httpservertomcattraffic 请求吞吐量 Int Tomcat信息 httpservertomcatsessionsactiveSessions 活跃会话数 Int

本节介绍如何创建JupyterLab开发机。 创建Notebook 在智算套件控制台页面选择“AI应用开发”，单击“创建Notebook”。 由于开发机会单独创建eip用于暴露服务，因此在创建时会出现 “此功能会自动帮您创建弹性IP和弹性负载均衡用于服务暴露，因此会产生一定的费用。” 的提示，确认需要启用后点击“确定”。 配置开发机基本信息 选择开发机类型，支持JupyterLab和VSCode类型的开发机，并选择需要创建的命名空间、填写描述信息等。 选择开发机框架，平台内置了多个公共的JupyterLab框架，其中有包含Pytorch、TensorFlow的CUDA镜像可供选择。 配置工作空间 “工作空间目录配置” 默认打开，数据集挂载第一条默认为工作空间目录的配置，且只能选择私有数据集（私有数据集具有读写权限，公共数据集为只读权限）进行配置，平台会将此工作空间数据集映射到容器的/home/jovyan目录，后续使用过程中用户工作空间的持久化数据将保存到该数据集内。 “工作空间目录配置”可选择关闭，关闭后如果该开发机容器故障用户工作空间内的数据将会丢失，请谨慎选择。 数据集支持多条配置，需要确保多条不同数据集的挂载路径不会重叠、重复。

新建 Serverless Devs 项目 创建一个空文件夹，在该文件夹下创建 s.yaml 文件、code 目录，然后在 code 目录下 创建 index.py 文件。文件目录结构如下： index.py 文件为函数代码，文件内容如下： python def handler(event, context): return 'hello world' Serverless Devs 工具默认使用 s.yaml 文件描述部署资源的元信息，其内容如下： plaintext edition: 3.0.0 name: hellodevsapp access: default vars: region: "bb9fdb42056f11eda1610242ac110002" resources: myfunc: component: faascf 组件，提供具体的业务能力。faascf 组件提供了对天翼云Serverless函数的管理能力 props: region: ${vars.region} 部署的资源池，天翼云华东1资源池为 bb9fdb42056f11eda1610242ac110002 functionName: helloworld 函数名称 code: ./code 函数代码目录 createType: 1 函数类型：标准函数（1）、自定义函数（2）、容器函数（3） runtime: 函数运行配置 handleType: event 处理事件请求（event）、处理HTTP请求（http） handler: index.handler 请求处理程序 runtime: python3.10 运行环境 executeTimeout: 64 执行超时时间 instanceConcurrency: 1 实例并发度 container: 运行容器配置 memorySize: 512 内存规格，单位：MB cpu: 0.5 vCPU规格，单位vCPU diskSize: 512 临时硬盘大小，单位：MB timeZone: UTC 时区，例如：UTC, Asia/Shanghai 部署函数 进入到 s.yaml 文件所在的路径，执行如下命令进行部署函数： shell s deploy 如果部署函数成功，将会显示如下输出： plaintext functionId: 39061695070521915 code: ossBucketName: ossObjectName: function/ snapshotOssObjectName: zipFile: container: image: faas/python3.10runtime:v1.3.1 timeZone: UTC memorySize: 512 cpu: 0.5 diskSize: 512 runCommand: Li9ib290c3RyYXAuc2g listenPort: 8080 codeDirPath: /code logLevel: sysLogLevel: INFO maxScale: null minScale: null fastStart: 0 functionName: helloworld ...

漏洞扫描是否支持IPv6？ 自身支持IPv4和IPv6两种网络协议的部署，也支持对IPv4和IPv6协议的目标进行扫描，包括域名类型。 漏扫扫描时是否会影响业务？ 主机扫描：通过发送数据包来探测目标是否存活、开放的端口、运行的服务和版本信息等，理论上不会出现任何的影响，但是不排除由于防火墙的设置导致的服务宕机、由于目标服务对发送的报文处理导致的宕机等，一般情况下基本不会产生，实际漏扫引擎已经做了很多规避策略，但不能保证100%无影响，市面上的漏扫原理基本一样。 网站扫描：原理是模拟用户的正常HTTP请求和模拟黑客的无害攻击，一般来说是不会影响被扫描对象的业务正常运行，但是如果对方服务器的并发连接数本身就较低，那么可能会导致服务中断，需要重启中间件，漏扫引擎具备动态流控的功能，该影响的概率极低基本不会发生。 基线配置核查：原理与数据库扫描类似，主要是查询相关配置，可能会产生临时文件和删除临时文件操作，但不会影响业务。 授权扫描和非授权扫描有什么区别？ 漏扫的扫描方式包括授权扫描和非授权扫描两种，也有称登录扫描和非登录扫描，实际是一个含义。 授权扫描：在对目标进行漏洞扫描的过程中，要输入帐号、密码等信息，属于“登录授权”进行的扫描。因为通过输入帐号信息登录后进行的扫描，因此扫描获得的信息更多，漏洞也将发现的更多，且误报率更低。（适用于主机扫描、数据库扫描、网站扫描、基线核查四大扫描模块） 非授权扫描：不需要目标的账户密码等授权信息即直接扫描，通过远程探测目标的信息来判断漏洞，可能会产生误报和漏洞（适用于主机扫描、网站扫描量大扫描模块）。

本节是版本升级概述。 云数据库GaussDB提供单个实例和批量实例就地升级、灰度升级、热补丁升级，支持用户手动进行内核版本升级。内核版本升级涉及性能提升、新功能或问题修复等。 如何查看内核版本 当前实例的版本信息可在实例“基本信息”页面，“数据库信息”模块的“数据库引擎版本”处查询。 升级方案介绍 GaussDB提供了多种升级方案： 表 升级方案 升级方式 操作方式 升级类型 适用场景 支持的回退方式 升级对业务的影响 建议的业务措施 热补丁升级 升级自动提交 在线升级 产品问题修复 自动 手动 全程无业务中断。 无。 就地升级 不涉及 离线升级 新功能上线 产品问题修复 自动 就地升级需要暂停业务约30分钟。 升级过程需要全程停止业务。 灰度升级 升级自动提交 在线升级 新功能上线 产品问题修复 自动 在升级主DN和CN的过程中分别会有一次10秒左右的业务中断，提交升级过程中可能会进行主备分布均衡，根据业务量等因素会有不同时长的业务中断。 增加业务重连机制。建议每次重连间隔1s，低压力期间（每分片3000TPS+4000QPS以内）重连总时长25s；可接受高压力期间（每分片6000TPS+10000QPS以内）重连总时长100s；高于可接受的高压力期间不建议升级。 灰度升级 升级待观察（滚动升级） 在线升级 新功能上线 产品问题修复 自动 手动 如果选择升级的AZ内包含主DN，每个主DN的升级会有一次10秒左右业务中断，如果选择升级的AZ内包含CN组件，升级时每个CN就会有一次10秒左右业务中断。 增加业务重连机制。建议每次重连间隔1s，低压力期间（每分片3000TPS+4000QPS以内）重连总时长25s；可接受高压力期间（每分片6000TPS+10000QPS以内）重连总时长100s；高于可接受的高压力期间不建议升级。

云性能测试服务测试的时候申请的带宽大小对测试的影响是什么？ 用户压测的请求和响应的模型不一样，所需带宽也不一样。比如说5000TPS，每个请求包大小是1KB，那么总的上行带宽是5000KB，下行带宽也是一样的估算方式。对于带宽的限制是限制上行带宽，因此POST/PUT等带Body的请求会比较消耗带宽资源。 压测时如果带宽不足的情况下会出现网络丢包，在测试报告中的体现就是时延增大，甚至出现超时。 如何进行并发测试？ 通过创建测试工程，根据需求构建事务模型之后，添加对应的测试任务便可进行并发测试。并发用户数即为并发数，不仅对单任务可以进行并发操作，也可以勾选多个测试任务同时进行并发操作。 JMeter测试工程和性能测试测试工程的区别？ JMeter测试工程支持直接导入JMeter脚本，使用JMeter原生引擎发起性能测试。 性能测试测试工程支持导入CPTS脚本和JMeter脚本，导入的JMeter脚本会自动转换为CPTS脚本进行性能测试，同时也支持直接手动按照实际压测场景，进行测试任务编辑，开展相应的性能测试。 怎样确定压测任务顺序读取全局变量的值？ 如果您想确认压测任务是否会顺序读取全局变量的值，可以通过以下步骤测试： 1. 设置全局变量，取值数量建议在10个以内（例如设置取值为6、5、4、3、2、1），方便快速测试。 2. 设置一个用例，在此用例报文的body体中引用1中设置的全局变量，执行阶段设为按次数方式，并发为1、并发次数为10，启动此用例。 3. 在性能报告中的“各项测试指标”中，单击操作图标“”，单击“下载请求日志”，查看请求体中全局变量的取值是否和设置的顺序一致。 通过日志可确认后续的取值是否顺序读取，当读取到最后一个值时，返回读取第一个值。

本章节介绍通用类问题 数据管理服务支持哪些数据源 数据管理服务支持多种数据源。目前，数据管理服务支持MySQL、DDS、PostgreSQL、SQL Server、DRDS等引擎。 数据管理服务是否支持跨Region访问 暂不支持。目前仅支持本region访问关系型数据库，如需跨region，要切换console region。 使用DAS登录PostgreSQL ，数据库一栏填写什么 数据库一栏填写postgres。 开启SQL执行记录后，会保存到哪里 登录数据管理服务时，在登录界面开启SQL执行记录。开启SQL执行记录后，会保存到数据管理服务的管理主机。

本章节主要介绍数据治理中心DataArts Studio的产品定义。 数据治理中心 DataArts Studio，是为了应对企业数据管理问题、针对企业数字化运营诉求提供的数据全生命周期管理、具有智能数据管理能力的一站式治理运营平台。 数据治理中心 DataArts Studio包含数据集成、数据开发等功能，支持行业知识库智能化建设，支持大数据存储、大数据计算分析引擎等数据底座，帮助企业快速构建从数据接入到数据分析的端到端智能数据系统，消除数据孤岛，统一数据标准，加快数据变现，实现数字化转型。

功能模块 说明 包括DDoS防护（中国内地）、DDoS防护（非中国内地），可控制是否开启DDoS防护功能。 包括防护规则引擎、合规性检测、敏感信息防护、网页防篡改、攻击挑战、Cookie防护等安全配置。 包括CC防护、访问控制、频率控制安全配置。 包括Bot策略白名单、高频爬虫限制、爬虫陷阱安全配置。

参数 描述 实例名称 实例名称为4～64个字符，必须以字母开头，区分大小写，可包含字母、数字、中划线或下划线，不能包含其他特殊字符。 创建成功后，可修改实例名称。 版本类型 社区版。 实例类型 选择“集群”。 集群类型的实例包含mongos、shard和config节点。其中，shard和config节点均采用三节点副本集架构，保证高可用。 兼容MongoDB版本 4.0 3.4 存储类型 超高IO 存储引擎 WiredTiger。 可用区 可用区是指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。

类别 说明 恢复范围 恢复整个实例。 恢复后实例数据 恢复后实例数据与用于恢复的全备文件中的数据一致。 恢复到新实例会为用户重新创建一个和该备份数据相同的实例。 恢复类型 恢复到新实例 恢复到新实例各配置项 新实例的数据库引擎和数据库版本，自动与原实例相同。 存储空间大小默认和原实例相同，且必须大于或等于原实例存储空间大小。 其他参数需要重新配置。 恢复时长 恢复时长和实例的数据量有关，平均恢复速率为100MB/s。

本文主要介绍工作负载伸缩原理。 CCE支持HPA策略和CustomedHPA策略两种工作负载伸缩方式。两种策略的对比如下： 表 HPA和CustomedHPA策略对比 伸缩策略 HPA策略 CustomedHPA策略 实现方式 Kubernetes中实现POD水平自动伸缩的功能， 即Horizontal Pod Autoscaling 自研的弹性伸缩增强能力 策略规则 基于指标 （CPU利用率、内存利用率）， 对无状态工作负载进行弹性扩缩容。 基于指标 （CPU利用率、内存利用率） 或 周期 （每天、每周、每月或每年的具体时间点）， 对无状态工作负载进行弹性扩缩容。 主要功能 在kubernetes社区HPA功能的基础上， 增加了应用级别的冷却时间窗和扩缩容阈值等功能。 指标触发 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长，可分步分级扩缩容。 支持按照实际指标值执行不同的扩缩容动作。 周期触发支持选择天、周、月或年的具体时间点或周期作为触发时间 HPA工作原理 HPA（Horizontal Pod Autoscaler）是用来控制Pod水平伸缩的控制器，HPA周期性检查Pod的度量数据，计算满足HPA资源所配置的目标数值所需的副本数量，进而调整目标资源（如Deployment）的replicas字段。 想要做到自动弹性伸缩，先决条件就是能感知到各种运行数据，例如集群节点、Pod、容器的CPU、内存使用率等等。而这些数据的监控能力Kubernetes也没有自己实现，而是通过其他项目来扩展Kubernetes的能力，CCE提供Prometheus和Metrics Server插件来实现该能力： Prometheus是一套开源的系统监控报警框架，能够采集丰富的Metrics（度量数据），目前已经基本是Kubernetes的标准监控方案。 Metrics Server是Kubernetes集群范围资源使用数据的聚合器。Metrics Server从kubelet公开的Summary API中采集度量数据，能够收集包括了Pod、Node、容器、Service等主要Kubernetes核心资源的度量数据，且对外提供一套标准的API。 使用HPA（Horizontal Pod Autoscaler）配合Metrics Server可以实现基于CPU和内存的自动弹性伸缩，再配合Prometheus还可以实现自定义监控指标的自动弹性伸缩。 图 HPA流程图

设置黑白名单 基于公钥认证机制，微服务引擎提供了黑白名单功能。通过黑白名单，可以控制微服 务允许其他哪些服务访问。 只有启用了公钥认证，设置的黑白名单才能生效。 注意 如果要使用黑白名单，则微服务与服务中心需要满足以下流程： 微服务启动的时候，生成秘钥对，并将公钥注册到服务中心。 消费者访问提供者之前，使用自己的私钥对消息进行签名。 提供者从服务中心获取消费者公钥，对签名的消息进行校验。 1、单击需要治理的微服务，进入微服务治理配置页面。 2、在服务治理配置页面，单击“黑白名单”，展开黑白名单详情页。 3、单击“新增”，为应用添加黑白名单，黑白名单配置项如下表所示。 配置项 配置项说明 类型 黑名单：表示根据匹配规则匹配到的微服务都不允许访问当前服务。 白名单：表示根据匹配规则匹配到的微服务允许访问当前服务。 匹配规则 使用正则表达式表示。举例如下：匹配规则：data表示名称以data开头的服务不允许其他服务访问；或者在白名单下匹配到的名称以data开头的服务允许访问当前服务。 4、单击“确定”保存设置。 公钥认证 公钥认证是微服务引擎提供的一种简单高效的微服务之间认证机制，它的安全性建立 在微服务与服务中心之间的交互是可信的基础之上，即微服务和服务中心之间必须先 启用认证机制。它的基本流程如下: 1. 微服务启动的时候，生成秘钥对，并将公钥注册到服务中心。 2. 消费者访问提供者之前，使用自己的私钥对消息进行签名。 3. 提供者从服务中心获取消费者公钥，对签名的消息进行校验。 启用公钥认证步骤如下: 1. 公钥认证需要在消费者、提供者都启用。 servicecomb: handler: chain: Consumer: default: authconsumer Provider: default: authprovider 2. 在pom.xml中增加依赖: org.apache.servicecomb handlerpublickeyauth

本文介绍WAF针对DeepSeek安全防护场景提供的Web防护方案。 背景介绍 随着人工智能技术的快速发展，很多企业选择在GPU云主机或GPU裸金属上搭建DeepSeek私有化服务，在这个过程中，用户不仅享受到了强大的AI算力资源，同时也面临着复杂的网络威胁，如DDoS攻击、SQL注入、跨站脚本（XSS）等。 为了保障AI算力资源、训练数据及服务API链路的安全性，部署Web应用防火墙成了必不可少的安全举措。Web应用防火墙支持多种定制化的安全防护策略，帮助企业有效应对各种网络威胁，确保DeepSeek服务的稳定运行，保障DeepSeeK安全性。 DeepSeek安全防护场景示意图 在DeepSeek Web安全防护场景中，用户的DeepSeeK服务部署在GPU云主机或GPU裸金属上，WAF作为前端的安全网关，负责过滤所有进入的流量。通过WAF的定制化规则和先进的内容检测引擎，恶意流量被有效拦截，确保AI算力资源和训练数据的安全。 安全风险及应对方案 风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 Web基础防护 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 精准访问控制 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 防敏感信息泄露 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。 CC防护 API安全

本文介绍了科研助手一种先付费再使用的包年包月计费模式。 适用场景 包周期计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包周期计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，例如大模型训练单任务运行时间较长的场景，包周期计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，例如科研类的模型训练，包周期计费模式可以确保在整个项目周期内资源的稳定使用。 约束限制 包周期的资源不能关机，不能更换资源规格，关机即退订。 适用计费项 计算资源（vCPU、GPU和NPU）支持包周期。 计费周期 包周期资源的计费周期是根据您购买的时长来确定的（以北京时间为准）。一个计费周期的起点是您开通或续费资源的时间（精确到秒），终点则是到期日的对应时间点。 例如，如果您在2024/04/06 15:50:04购买了一个时长为一个月的专属资源池，那么其计费周期为：2024/04/06 15:50:04 ~ 2024/05/08 15:50:04。 到期影响 购买后，在计费周期内资源正常运行；资源到期而未续费时，则进入冻结期。 到期预警 包周期资源在到期前7天内，用户将会收到系统推送的预警消息，消息将通过邮件和短信通知用户。 到期后影响 当您的包周期资源到期未释放且未续费，则包周期的资源将进入冻结状态，冻结期间无法删除资源，您可以选择续费解冻。若长时间未续费，那么计算资源（vCPU、GPU和和MEM）将被释放，数据无法恢复。

本节介绍了节点操作系统说明的用户指南。 镜像可用性说明 云容器引擎提供多种OS公共镜像供用户选择，建议用户优先选择CTyunOS公共镜像。部分Linux发行版本因内核版本过低，以及开源社区终止维护的问题，继续在kubernetes场景下使用会存在较大风险，用户应谨慎评估继续使用该版本镜像所带来的影响 操作系统 已知缺陷 原因 解决方法 Centos7.9 运行时为containerd时，偶尔可见pod长期处于Terminating状态，无法正常终止 使用的3.10.01160内核版本缺陷所致 echo fs.maydetachmounts1 >> /etc/sysctl.conf sysctl p Centos7.9 os在cpu/内存资源富裕的情况下无法派生线程/协程 低版本内核的os kernel.pidmax使用了较小的默认值32768 echo kernel.pidmax4194304 >> /etc/sysctl.conf sysctl p Ubuntu 18.04 os在cpu/内存资源富裕的情况下无法派生线程/协程 低版本内核的os kernel.pidmax使用了较小的默认值32768 echo kernel.pidmax4194304 >> /etc/sysctl.conf sysctl p 弹性云主机镜像 操作系统 最新内核信息 支持x86主机 支持ARM主机 支持GPU主机 集群版本 CubeCNI PolicyRoute（默认） CubeCNI IPVlan（订购时选择） CTyunOS 23.01 x86版本：5.10.0136.12.0.88.4.ctl3.x8664 ARM版本：5.10.0136.12.0.88.4.ctl3.aarch64 √ √ √ v1.31 √ √ CTyunOS 23.01 x86版本：5.10.0136.12.0.88.4.ctl3.x8664 ARM版本：5.10.0136.12.0.88.4.ctl3.aarch64 √ √ √ v1.29 √ √ CTyunOS 23.01 x86版本：5.10.0136.12.0.88.4.ctl3.x8664 ARM版本：5.10.0136.12.0.88.4.ctl3.aarch64 √ √ √ v1.27 √ √ CTyunOS 23.01 x86版本：5.10.0136.12.0.88.4.ctl3.x8664 ARM版本：5.10.0136.12.0.88.4.ctl3.aarch64 √ √ √ v1.25 √ √ CTyunOS 23.01 x86版本：5.10.0136.12.0.88.4.ctl3.x8664 ARM版本：5.10.0136.12.0.88.4.ctl3.aarch64 √ √ √ v1.23 √ √ CTyunOS 2.0.1 x86版本：4.19.902102.2.0.0068.4.ctl2.x8664 ARM版本：4.19.902102.2.0.0062.ctl2.aarch64 √ √ × v1.31 √ × CTyunOS 2.0.1 x86版本：4.19.902102.2.0.0068.4.ctl2.x8664 ARM版本：4.19.902102.2.0.0062.ctl2.aarch64 √ √ × v1.29 √ × CTyunOS 2.0.1 x86版本：4.19.902102.2.0.0068.4.ctl2.x8664 ARM版本：4.19.902102.2.0.0062.ctl2.aarch64 √ √ × v1.27 √ × CTyunOS 2.0.1 x86版本：4.19.902102.2.0.0068.4.ctl2.x8664 ARM版本：4.19.902102.2.0.0062.ctl2.aarch64 √ √ × v1.25 √ × CTyunOS 2.0.1 x86版本：4.19.902102.2.0.0068.4.ctl2.x8664 ARM版本：4.19.902102.2.0.0062.ctl2.aarch64 √ √ × v1.23 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.31 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.29 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.27 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.25 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.23 √ × Ubuntu 22.04 5.15.0153generic √ × √ v1.31 √ × Ubuntu 22.04 5.15.0153generic √ × √ v1.29 √ × Ubuntu 22.04 5.15.0153generic √ × √ v1.27 √ × Ubuntu 22.04 5.15.0153generic √ × √ v1.25 √ × Ubuntu 22.04 5.15.0153generic √ × √ v1.23 √ × Ubuntu 20.04 5.4.0216generic √ × √ v1.31 √ × Ubuntu 20.04 5.4.0216generic √ × √ v1.29 √ × Ubuntu 20.04 5.4.0216generic √ × √ v1.27 √ × Ubuntu 20.04 5.4.0216generic √ × √ v1.25 √ × Ubuntu 20.04 5.4.0216generic √ × √ v1.23 √ × Ubuntu 18.04 4.15.0213generic √ × × v1.31 √ × Ubuntu 18.04 4.15.0213generic √ × × v1.29 √ × Ubuntu 18.04 4.15.0213generic √ × × v1.27 √ × Ubuntu 18.04 4.15.0213generic √ × × v1.25 √ × Ubuntu 18.04 4.15.0213generic √ × × v1.23 √ × kylinV10SP3 x86版本：4.19.9052.38.v2207.ky10.x8664 ARM版本：4.19.9052.42.v2207.ky10.aarch64 √ √ × v1.31 √ × kylinV10SP3 x86版本：4.19.9052.38.v2207.ky10.x8664 ARM版本：4.19.9052.42.v2207.ky10.aarch64 √ √ × v1.29 √ × kylinV10SP3 x86版本：4.19.9052.38.v2207.ky10.x8664 ARM版本：4.19.9052.42.v2207.ky10.aarch64 √ √ × v1.27 √ × kylinV10SP3 x86版本：4.19.9052.38.v2207.ky10.x8664 ARM版本：4.19.9052.42.v2207.ky10.aarch64 √ √ × v1.25 √ × kylinV10SP3 x86版本：4.19.9052.38.v2207.ky10.x8664 ARM版本：4.19.9052.42.v2207.ky10.aarch64 √ √ × v1.23 √ × UnionTechOSV201050u1ex8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.31 √ × UnionTechOSV201050u1ex8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.29 √ × UnionTechOSV201050u1ex8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.27 √ × UnionTechOSV201050u1ex8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.25 √ × UnionTechOSV201050u1ex8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.23 √ × openEuler22.03x8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.31 √ × openEuler22.03x8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.29 √ × openEuler22.03x8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.27 √ × openEuler22.03x8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.25 √ × openEuler22.03x8664 x86版本：5.10.0153.56.0.134.oe2203sp2.x8664 ARM版本：5.10.0153.37.0.114.oe2203sp2.aarch64 √ √ × v1.23 √ × Anolis8.4x8664 4.18.0305.an8.x8664 √ × × v1.31 √ × Anolis8.4x8664 4.18.0305.an8.x8664 √ × × v1.29 √ × Anolis8.4x8664 4.18.0305.an8.x8664 √ × × v1.27 √ × Anolis8.4x8664 4.18.0305.an8.x8664 √ × × v1.25 √ × Anolis8.4x8664 4.18.0305.an8.x8664 √ × × v1.23 √ ×

本文介绍了关系数据库MySQL版的关键配置参数信息，合理的参数可以发挥数据库MySQL最大的性能，不合适的参数值可能会影响业务运行。 本文只列举了一些重要参数说明，如需要查看更多参数详细说明，请参见 MySQL官网 。通过控制台界面修改MySQL参数值，请参见 修改参数组。 修改敏感参数 若干参数相关说明如下： lowercasetablenames 云数据库默认值："1" 作用 ：mysql设置大小写是否敏感的一个参数。默认值"1"，表示创建数据库及表时，存储在磁盘是小写的，比较的时候是不区分大小写。 目前关系数据库MySQL版仅支持lowercasetablenames1，不区分大小写，后续将推出支持区分大小写功能，请关注产品动态。 innodbflushlogattrxcommit 云数据库默认值： " 1" 作用 ：该参数控制提交操作安全和高性能之间的平衡。设置为默认值"1"，每次事务提交时，将log buffer的数据写入到log file中，并且同时将log file向磁盘中写入 ；当设为"0"时，每秒将写入log buffer到log file中，且同时将log file向磁盘中写入 （该模式下在事务提交的时候，不会主动触发写入磁盘的操作）；如果设为"2"，则每次事务提交时 将log buffer的数据 写入到log file中，大约每秒将log file向磁盘中写入，与log buffer写入不同步 。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致数据丢失。设置为"0"时，写入速度快，但是不安全，如果mysqld进程崩溃，导致上一秒的所有事务中的操作数据丢失。设置为"1"时，写入速度最慢，但是安全，即使mysqld进程崩溃或者服务主机宕机，log可能最多只丢失一个语句或者一个事务的操作数据。设置为"2" 时，写入速度快，比 "0" 安全，只有服务主机宕机时，会导致上一秒的所有事务中的操作数据丢失。 POC建议值："2" syncbinlog 云数据库默认值："1" 作用 ：该参数控制MySQL 的二进制日志（binary log）同步到磁盘的频率，取值：0N。设置为默认值"1"，表示每进行1次事务提交之后，MySQL将进行一次fsync之类的磁盘同步指令来将binlogcache中的数据强制写入磁盘，是最安全的设置；设置为"0"时，表示当事务提交之后，MySQL不做fsync之类的磁盘同步指令刷新binlogcache中的信息到磁盘，而让Filesystem自行决定什么时候来做同步，或者cache满了之后才同步到磁盘。此时的性能最好，但风险也是最大，因为断电或操作系统崩溃情况下，在binlogcache中的所有binlog信息都会被丢失。 影响 ：参数设置为非默认值"1"时，降低了数据安全性，在系统崩溃的情况下，可能导致binlog丢失。 POC 建议值 ："1000" innodbbufferpoolsize 云数据库默认值 ： "规格参数，开通的不同实例规格默认值不同"。 作用 ：该参数定义了 InnoDB 存储引擎的表数据和索引数据的最大内存缓冲区大小，数据在内存中的读写速度是磁盘读写速度的很多倍，增加该值可减少磁盘I/O。 影响：过大的buffer pool可能导致系统OOM崩溃，请谨慎修改。 POC建议值：32G及以上规格可将其调整至内存的70%~75%。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

删除集群 当您已完全了解Elasticsearch搜索引擎的使用流程和方法后，您可以参考如下步骤，删除示例集群以及示例数据，避免造成资源浪费。 由于集群删除后，数据无法恢复，请谨慎操作。 1.登录云搜索服务管理控制台。在左侧菜单栏选择“集群管理”。 2.进入集群管理页面，选中“SampleESCluster”集群所在行，在操作列单击“更多”>“删除”。 3.在弹出的确认对话框中，单击“确定”完成操作。

本文介绍如何查看镜像扫描任务的状态。 执行镜像扫描操作后，可通过“任务中心”查看镜像扫描任务的状态。 扫描状态包括扫描完成、待扫描、扫描中、创建中。 扫描类型分为手动扫描、自动扫描、周期扫描。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 定位到“扫描任务队列 > 镜像扫描队列”，可查看历史扫描任务和正在扫描任务中镜像的扫描状态。 说明 若扫描任务中扫描类型后带有“！”，则说明此任务中存在扫描失败的镜像。

本小节介绍镜像基线检查。 基线检查功能自动检测您私有镜像仓库中存在的配置风险，针对所发现的问题为您提供加固建议，帮助您正确地处理镜像内的各种风险配置信息，降低入侵风险并满足安全合规要求。 检测周期 企业主机安全每天凌晨自动进行一次全面的检查。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的配置风险。 检测项 确保系统中不存在账号名或UID相同的账号 UID为0的非root账号检查 代码中的口令检查 确保系统中不存在相同密码哈希值的账号 禁止使用弱密码哈希算法 确保帐户密码不为空 确保系统中不存在相同组名或GID 确保没有非特权账号加入特权组 确保/etc/passwd中不存在旧的"+"条目 确保/etc/shadow中不存在旧的"+"条目 确保/etc/group中不存在旧的"+"条目 确保/etc/passwd中的所有组都存在于/etc/group中 确保配置了密码有效期 确保所有用户的密码更改日期都是过去日期 禁用建立host信任 禁止建立预置的root级别的信任关系 确保root帐户的默认组为GID 0 确保shadow组为空 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航树中，选择“风险预防 > 容器镜像安全”。 4、 选择“镜像基线检查”页签，查看镜像中存在的配置风险。 5、单击检测项前的，查看该检测项的详情、存在的问题及加固建议，并根据加固建议修复有风险的配置信息。

Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理 AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡 ELB 应用运维管理 AOM NAT网关 NAT 对象存储服务 弹性文件服务 SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置对象存储Administrator权限。 说明 由于缓存的存在，对用户、用户组以及企业项目授予对象存储相关的RBAC策略后，大概需要等待15分钟RBAC策略才能生效；授予对象存储相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理 AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机 ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡 ELB NAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 极速文件存储 EFS（SFS Turbo） 使用极速文件存储，需要设置SFS Turbo Admin权限 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项 ( ConfigMap )无需其他依赖权限。 密钥 ( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务 SWR 应用运维管理 AOM 云监控服务（存储管理与节点管理的“监控”跳转） 为便于您快速进入CCE相关服务的控制台，在CCE控制台中增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

本页介绍了文档数据库服务性能相关常见问题。 文档数据库服务什么情况下会触发主备切换 当集群和副本集的primary节点down掉之后，会触发主备切换。另外，您也可以在控制台实例基本信息页面进行主动的主备切换。文档数据库服务通过提供集群的连接串方式，便于应用端在主备切换后可以正常的进行读写，建议您使用连接串的方式配置业务的数据库服务访问。 当发现磁盘使用率高时怎么进行问题排查 您可以通过监控查看机器磁盘使用率。如果磁盘使用率高，可以从下面几个角度进行排查解决： 确认业务数据量，您可以先连接数据库，执行 show dbs 命令观察目前数据库的数据量。如果发现是业务数据量太大，那么可以对该实例进行磁盘扩容。 您也可以将过期无需再使用的业务数据进行删除。 文档数据库服务默认使用WiredTiger存储引擎。WiredTiger存储引擎在删除数据时，不会直接释放磁盘空间，您可以借助compact命令进行磁盘空间的释放回收。 对于sharding集群实例，确认是否因选择的分片不合理引发数据分布不均衡问题，可以优化数据库集合分片配置。 副本集中主从同步存在多长时间的延迟 数据库主备同步延迟受多种因素的影响，常见的有： 主备节点间的网络延迟，主备节点间的数据同步需要通过网络传输。 复制策略：异步复制通常会引入更大的延迟。 数据库负载：如主节点的负载较高，处理写入操作的速度可能会受到限制，从而导致主备延迟加大。 事务大小：大事务通常会导致更长的主备同步延迟。 您可以通过连接文档数据库服务，执行rs.printSlaveReplicationInfo()指令查看副本集中的主备同步延迟。

本章节主要介绍数据仓库服务的产品优势。 DWS数据库内核使用自主研发的GaussDB数据库，兼容PostgreSQL 9.2.4的数据库内核引擎，从单机OLTP数据库改造为企业级MPP（大规模并行处理）架构的OLAP分布式数据库，其主要面向海量数据分析场景。 DWS与传统数据仓库相比，主要有以下特点与显著优势，可解决多行业超大规模数据处理与通用平台管理问题： 易使用 一站式可视化便捷管理 DWS让您能够轻松完成从项目概念到生产部署的整个过程。通过使用DWS 管理控制台，您不需要安装数据仓库软件，也不需要部署数据仓库服务器，就可以在几分钟之内获得高性能、高可靠的企业级数据仓库集群。 您只需点击几下鼠标，就可以轻松完成应用程序与数据仓库的连接、数据备份、数据恢复、数据仓库资源和性能监控等运维管理工作。 与大数据无缝集成 您可以使用标准SQL查询HDFS、对象存储服务（Object Storage Service，OBS）上的数据，数据无需搬迁。 提供一键式异构数据库迁移工具 DWS提供配套的迁移工具，可支持Oracle和Teradata的SQL脚本迁移到DWS 。 高性能 云化分布式架构 DWS采用全并行的MPP架构数据库，业务数据被分散存储在多个节点上，数据分析任务被推送到数据所在位置就近执行，并行地完成大规模的数据处理工作，实现对数据处理的快速响应。 查询高性能，万亿数据秒级响应 DWS后台还通过算子多线程并行执行、向量化计算引擎实现指令在寄存器并行执行，以及LLVM动态编译减少查询时冗余的条件逻辑判断，助力数据查询性能提升。 DWS支持行列混合存储，可以同时为用户提供更优的数据压缩比（列存）、更好的索引性能（列存）、更好的点更新和点查询（行存）性能。 数据加载快 DWS提供了GDS极速并行大规模数据加载工具。

本文主要介绍工作负载升级配置。 在实际应用中，升级是一个常见的场景，Deployment、StatefulSet和DaemonSet都能够很方便的支撑应用升级。 设置不同的升级策略，有如下两种。 RollingUpdate：滚动升级，即逐步创建新Pod再删除旧Pod，为默认策略。 Recreate：替换升级，即先把当前Pod删掉再重新创建Pod。 升级参数说明 最大浪涌（maxSurge） 与spec.replicas相比，可以有多少个Pod存在，默认值是25%，比如spec.replicas为 4，那升级过程中就不能超过5个Pod存在，即按1个的步伐升级，实际升级过程中会换算成数字，且换算会向上取整。这个值也可以直接设置成数字。 仅Deployment支持配置。 最大无效实例数（maxUnavailable） 与spec.replicas相比，可以有多少个Pod失效，也就是删除的比例，默认值是25%，比如spec.replicas为4，那升级过程中就至少有3个Pod存在，即删除Pod的步伐是1。同样这个值也可以设置成数字。 仅Deployment支持配置。 实例可用最短时间（minReadySeconds） 指定新创建的Pod 在没有任意容器崩溃情况下的最小就绪时间， 只有超出这个时间 Pod 才被视为可用。默认值为 0（Pod 在准备就绪后立即将被视为可用）。 最大保留版本数（revisionHistoryLimit） 用来设定出于回滚目的所要保留的旧 ReplicaSet 数量。 这些旧 ReplicaSet 会消耗 etcd 中的资源，并占用 kubectl get rs 的输出。 每个 Deployment 修订版本的配置都存储在其 ReplicaSets 中；因此，一旦删除了旧的 ReplicaSet， 将失去回滚到 Deployment 的对应修订版本的能力。 默认情况下，系统保留 10 个旧 ReplicaSet，但其理想值取决于新 Deployment 的频率和稳定性。 升级最大时长（progressDeadlineSeconds） 指定系统在报告Deployment 进展失败 之前等待 Deployment 取得进展的秒数。 这类报告会在资源状态中体现为 TypeProgressing、StatusFalse、 ReasonProgressDeadlineExceeded。Deployment 控制器将持续重试 Deployment。 将来，一旦实现了自动回滚，Deployment 控制器将在探测到这样的条件时立即回滚 Deployment。 如果指定，则此字段值需要大于.spec.minReadySeconds 取值。 缩容时间窗（terminationGracePeriodSeconds）： 优雅删除时间，默认为30秒，删除Pod时发送SIGTERM终止信号，然后等待容器中的应用程序终止执行，如果在terminationGracePeriodSeconds时间内未能终止，则发送SIGKILL的系统信号强行终止。

本节介绍了：CSI的常见问题。 存储FAQCSI 本文主要介绍天翼云存储插件cstorcsi，其安装及使用过程中常见的问题及分析流程。 安装失败 失败原因查看 在“插件”——“插件市场”——选择“cstorcsi”插件安装，完成相关参数配置后点击“安装”；安装详情可以在“插件”——“插件实例”中看到cstorcsi实例，在状态栏查看实例运行状态，如果实例安装失败，可以通过查看状态栏的日志获取部署失败详情。 常见问题 查阅日志报 “no matches for kind “PodSecurityPolicy” in version“policy/v1beta1” 该报错见于在kubernetes v1.25集群上安装cstorcsi v3.1.0版本报错，报错原因是cstorcsi插件安装会部署PodSecurityPolicy资源，但该资源在k8s v1.25中被移除。该问题解决方案为： 1、将cstorcsi升级至3.2.0，按原参数安装即可； 2、如不希望进行组件升级，可以将cstorcsi v3.1.0 value.yaml中，将参数podSecurityPolicy.enabled配置为false，卸载后重新安装即可。 使用cstorcsi创建存储卷错误 通用分析流程 1、在“插件”——“插件实例”查看cstorcsi实例，运行是否异常； 2、进入“工作负载”——“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1、Can not get AK 该报错是由于cstorcsi安装过程中，未进行AK、SK配置。解决方案为：在”账号中心”——”安全设置”——”用户AccessKey”中查看AK、SK。 卸载cstorcsi后，选择重新安装该插件，在安装配置窗口中根据获得的 AK、SK值，分别填入AuthConfig.AK和AuthConfig.SK字段中，点击安装即可完成插件部署。 2、用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2、can not support RWX in filesystem mode for disk 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”——”持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。 如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。 目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3、failed to create disk volume, message: disk size should be in range [10G ,32T] 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为： failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。

事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 ::: GPU SRAM存在 Uncorrectable ECC告警 SRAMUncorrectableEccError 重要 GPU卡SRAM出现Uncorrectable ECC Error硬件故障。 如果业务受损，请提交工单。 可能GPU硬件问题导致SRAM故障，导致业务异常退出 主机重启 osReboot 重要 物理机实例重启。 包括： 1. 在管理控制台进行重启操作 2. 通过API接口下发重启指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常重启 serverReboot 重要 物理机实例异常重启。 包括： 1. 操作系统异常导致重启 2. 主机硬件故障导致重启 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 主机关机 osShutdown 重要 物理机实例关机。 包括： 1. 在管理控制台进行关机操作 2. 通过API接口下发关机指令 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 异常关机 serverShutdown 重要 物理机实例异常关机。 包括： 1. 主机异常下电 2. 主机硬件故障导致关机 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 网络中断 linkDown 重要 物理机网络中断。 包括： 1. 主机异常关机、重启 2. 交换机故障引起的网络中断 3. 网关节点故障引起的中断 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 业务中断 PCIE异常 pcieError 重要 物理机PCIe设备硬件故障。 包括： 1. 主板故障 2. PCIe设备故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响网络或硬盘读写业务 硬盘故障 diskError 重要 物理机磁盘故障。 包括： 1. 硬盘背板故障 2. 硬盘本身故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 云存储连接异常 storageError 重要 物理机云硬盘链接异常。 包括： 1. SDI卡故障 2. 远端存储故障 1. 业务应用做成高可用。 2. 主机恢复后，确认业务是否自动恢复。 影响数据读写业务或主机无法启动 GPU存在infoROM告警 gpuInfoROMAlarm 重要 GPU可能存在硬件问题，导致驱动读取不到inforom信息。 业务可以继续使用该GPU卡，不敏感业务可以继续使用，敏感业务请提交工单处理。 对业务暂时没有影响，当GPU硬件出现ECC故障时，可能无法自动完成故障页隔离，导致业务受损。 GPU发生double bit ECC告警 doubleBitEccError 重要 GPU硬件存在double bit ECC故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU隔离页过多告警 gpuTooManyRetiredPagesAlarm 重要 GPU硬件存在过多ECC隔离页。 如果业务受损，请提交工单。 GPU硬件存在过多ECC故障，可能频繁影响业务运行。 GPU A100 硬件发生ECC告警 gpuA100EccAlarm 重要 GPU卡出现ECC硬件故障。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离后业务可继续正常使用GPU。 GPU ECC内存页隔离失败告警 eccPageRetirementRecordingFailure 重要 GPU硬件存在ECC故障，驱动自动隔离这些页时失败。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 可能会造成业务中断，故障页隔离隔离失败，可能导致业务无法使用GPU。 GPU ECC页隔离告警 eccPageRetirementRecordingEvent 一般 存在ECC硬件错误，发生内存页自动隔离。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 一般随ECC故障告警出现，单独出现不影响业务。 GPU single bit ECC过多告警 highSingleBitEccErrorRate 重要 ECC硬件存在过高ECC single bit错误。 如果业务受损停止，则重启业务恢复。 如果业务无法启动，建议尝试重启虚拟机恢复业务。 如果业务仍然无法恢复，请提交工单。 single bit的错误能够自动恢复，一般不影响GPU相关应用程序。 GPU驱动掉卡告警 gpuDriverLinkFailureAlarm 重要 GPU链路正常，NVIDIA驱动找不到GPU硬件。 建议尝试重启虚拟机恢复业务。如果业务仍然无法恢复，请提交工单。 一般驱动问题导致找不到对应位置的GPU。 GPU卡链路故障告警 gpuPcieLinkFailureAlarm 重要 GPU链路异常，通过lspci无法查看GPU硬件信息。 如果业务受损，请提交工单。 硬件问题导致GPU卡链路异常，驱动无法使用GPU。 虚拟机GPU丢卡告警 vmLostGpuAlarm 重要 虚拟机实际有的GPU卡数量比规格里应分配的GPU卡数量少。 如果业务受损，请提交工单。 虚拟机GPU卡丢失。 GPU显存页告警 gpuMemoryPageFault 重要 GPU显存页发生故障，故障可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致显存故障，导致业务异常退出 GPU图像引擎异常告警 graphicsEngineException 重要 GPU图像引擎发生故障，可能由应用、驱动或硬件引起。 如果业务受损，请提交工单。 可能GPU硬件问题导致图像引擎故障，导致业务异常退出。 GPU温度过高告警 highTemperatureEvent 重要 GPU硬件温度过高。 如果业务受损，请提交工单。 GPU温度超过温度阈值，可能会引起GPU卡性能下降 GPU NVLINK链路错误告警 nvlinkError 重要 NVLINK的链路出现硬件故障。 如果业务受损，请提交工单。 NVLINK链路故障，影响业务使用GPU nvlink能力。 nvidiasmi命令卡住 nvidiaSmiHangEvent 重要 nvidiasmi命令超时，该命令可能卡住 如果业务受损，请提交工单。 可能是命令执行过程中，触发驱动问题，导致命令卡住，同时可能出现业务使用驱动报错问题。

本文介绍如何将镜像加入白名单。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表操作列中的“加入白名单”，进入加入白名单页面。 5. 输入白名单名称，选择应用于哪些节点和仓库，备注描述信息。 6. 单击“保存”，即可将该镜像加入白名单，之后在相应节点和仓库中扫描到该镜像时，将不会产生告警。

本章节介绍推送轨迹的相关功能 概述 推送轨迹是指客户端注册了Listener监听Nacos的配置或者服务，当服务端的配置或服务发生变化时，主动推送给客户端，轨迹就是记录推送过程中的相关情况，包括触发时间、客户端、服务或者配置、推送耗时等信息。通过查询推送轨迹信息，可以清晰的确认服务或配置的推送情况，有利于提高问题排查效率。本节介绍推送轨迹的具体功能以及如何在控制台查看推送轨迹数据。 前提条件 1. 已开通微服务引擎MSE，参考章节：创建Nacos实例 2. 已开通Nacos实例并且状态正常 3. 已注册服务 注册中心推送轨迹 注册中心推送轨迹数据记录了服务推送的信息。当您在使用Nacos作为注册中心监听注册的服务后，当服务发生变化，客户端却没有收到变更推送时，就可以通过推送轨迹数据来确认时推送的动作没有触发、推送失败抑或是客户端返回了错误信息。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前Nacos注册的服务列表。 5. 找到目标服务所在行，点击推送轨迹按钮，可以快速查看该服务的推送轨迹。也可以直接点击服务管理> 推送轨迹，然后选择命名空间，选择服务和分组，查看对应服务的推送轨迹数据。 6. 在推送轨迹页面，还可以根据需要选择查询维度：服务或者IP。服务维度查询需要输入或选择分组和服务名称，选择时间或者自定义时间，点击查询。IP维度查询客户端收到的全部推送信息,需要输入客户端IP作为查询参数. 配置中心推送轨迹 配置中心推送轨迹数据记录了配置推送的信息。当您在使用Nacos配置后，当配置发生变化，某台客户端配置却没有生效等场景，就可以通过配置推送轨迹数据来辅助定位问题。